MISZMASZ TWOJA GAZETA

PORTAL DLA DŁUŻNIKÓW, WIERZYCIELI, KOMORNIKÓW, SĘDZIÓW I PRAWNIKÓW
Dziś jest:  czwartek 28 marca 2024r.

PRZEGLĄD PRASY

  • Miszmasz - Czarny Piar
  • Miszmasz - Czarny Piar
  • Miszmasz - Czarny Piar
  • Miszmasz - Czarny Piar
  • Miszmasz - Czarny Piar

writing 1149962 340Łączenie w jednym oświadczeniu zgód na różne cele przetwarzania danych to jedno z najczęstszych uchybień banków stwierdzonych przez GIODO na podstawie sprawdzeń przeprowadzonych przez ABI

 

W 2016 r. administratorzy bezpieczeństwa informacji (ABI) z 20 banków, w tym 9 spółdzielczych, na wniosek Generalnego Inspektora Ochrony Danych Osobowych (GIODO) przeprowadzili sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Objęto nimi kwestie związane z prowadzeniem marketingu kierowanego do klientów oraz osób niebędących klientami banku.

 

Kilka oświadczeń woli w jednym to błąd

Na podstawie informacji zawartych w sprawozdaniach ze sprawdzeń ustalono, iż osiem banków pozyskuje zgodę na przetwarzanie danych osobowych w celach marketingowych, stosując klauzule zawierające łącznie dwie lub więcej z następujących zgód:

zgodę na przetwarzanie w celach marketingu własnych produktów lub usług,

zgodę na przetwarzanie w celach marketingu produktów lub usług innych podmiotów,

zgodę na używanie telekomunikacyjnych urządzeń końcowych w celu prowadzenia marketingu bezpośredniego,

zgodę na otrzymywanie informacji handlowej drogą elektroniczną.

 

Tymczasem zawarcie kilku zgód w treści jednego oświadczenia skutkuje brakiem możliwości wyboru zgody, którą zamierza się wyrazić. Oznacza to, że osoba, której dane dotyczą, nie ma swobody w dysponowaniu swoimi danymi osobowymi.

 

Jak poprawnie pozyskiwać zgody?

Zgodnie zaś z art. 7 pkt 5 ustawy o ochronie danych osobowych, przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie.

Formuła zgody na przetwarzanie danych osobowych powinna zatem stanowić odrębne oświadczenie od innych oświadczeń osoby, której dane dotyczą, zaś z jej treści w sposób niebudzący wątpliwości powinno wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Przy odbieraniu zgody zagwarantowana powinna być opcjonalność, tj. osoba składająca oświadczenie powinna mieć możliwość wyrażenia zgody na określone działania, albo jej niewyrażenia.

 

Naruszeniem prawa jest też jednoczesne pozyskiwanie zgody na przetwarzanie danych osobowych w celach marketingowych ze zgodą na otrzymywanie informacji i ofert w rozumieniu ustawy o świadczeniu usług drogą elektroniczną. Zgody na przetwarzanie danych osobowych w celach marketingowych nie można bowiem mylić ze zgodą na otrzymywanie informacji handlowych drogą elektroniczną. Są to dwie różne zgody, których uregulowanie znajduje się w dwóch różnych aktach prawnych.

Konieczność pozyskiwania zgody na otrzymywanie informacji handlowych drogą elektroniczną wynika z ustawy o świadczeniu usług drogą elektroniczną. Z kolei w określonych sytuacjach, kiedy dane osobowe klientów chce się wykorzystywać w celach marketingowych, to na takie działanie należy pozyskać ich zgodę wyrażoną na podstawie ustawy o ochronie danych osobowych. I choć obie wymienione ustawy przewidują, że zgody nie można domniemywać z oświadczenia woli o innej treści, to jednak przesyłanie informacji handlowych drogą elektroniczną jest innym działaniem niż wykorzystywanie danych osobowych w celach marketingowych inną drogą, niż elektroniczna.

 

Z inną sytuacją mamy jednak do czynienia wówczas, gdy klienta z firmą, z usług której korzysta, łączy umowa. Wówczas na przetwarzanie jego danych osobowych w celach marketingu własnych produktów i usług tej firmy nie jest potrzebna jego zgoda. W tym przypadku podstawą uprawniającą do wykorzystywania danych osobowych jest bowiem prawnie usprawiedliwiony cel administratora danych, o którym mowa w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Oznacza to, że bank - w celu promowania własnych produktów i usług - może wykorzystywać dane osobowe swoich klientów bez konieczności pozyskiwania na to ich zgody, pod warunkiem że takie działanie nie narusza praw i wolności osób, których dane dotyczą.

 

Przedsiębiorcy prowadzący swoją działalność marketingową z powołaniem się na ich prawnie usprawiedliwiony cel muszą jednak pamiętać, że ustawa o ochronie danych osobowych zezwala na takie działanie do czasu, gdy klient nie wniesie sprzeciwu w tym zakresie. Od tego momentu wykorzystywanie jego danych w celach marketingowych jest zakazane. Również przetwarzanie danych w celach marketingowych po wygaśnięciu umowy łączącej przedsiębiorcę z klientem jest niedopuszczalne, chyba że wyraził on na to zgodę.

 

Jeśli zaś przedsiębiorca chce przesyłać swoim klientom oferty innych podmiotów, to na takie działanie musi uzyskać ich zgodę. Nie istnieją bowiem przepisy prawa, które pozwalałyby na przesyłanie oferty marketingowej innego podmiotu bez zgody osoby, której dane dotyczą. Nawet zawarcie przez oba pomioty umowy w sprawie wzajemnej promocji nie jest wystarczającą podstawą do uznania, że wysyłanie oferty marketingowej podmiotu współpracującego jest prawnie usprawiedliwionym celem administratora danych.

 

Umorzenia i decyzje nakazujące

Wobec banków, w których stwierdzono stosowanie wadliwych klauzul zgód, wszczęto postępowania administracyjne. Cztery banki usunęły wykazane uchybienia w toku prowadzonych postępowań administracyjnych i z tych względów postępowania te zostały umorzone. Wobec trzech innych banków Generalny Inspektor Ochrony Danych Osobowych wydał decyzje nakazujące usunięcie naruszeń poprzez zapewnienie swobody w wyrażaniu przez klientów zgody na przetwarzanie danych osobowych w celach marketingu produktów banku.

 

Błędy ABI

Wszyscy ABI, do których zwrócono się o przeprowadzenie sprawdzenia, wywiązali się z tego obowiązku. Jednak poziom sprawdzeń co do ich jakości i kompletności był bardzo zróżnicowany. Niektórzy ABI mieli trudności w dokumentowaniu sprawdzeń, co powodowało konieczność wnioskowania przez organ o przedstawianie dodatkowych wyjaśnień i innych dowodów. Brak wyczerpującego opisu stanu faktycznego lub niezbędnych dowodów uniemożliwia bowiem dokonanie prawidłowej oceny przedłożonego przez ABI sprawozdania.

 

Niektórzy ABI mieli problemy z identyfikacją nieprawidłowości lub ich kwalifikacją prawną. W kilku przypadkach wystąpiły też błędy proceduralne, np. sprawozdanie było przesyłane bez wymaganego pośrednictwa administratora danych. W niektórych sytuacjach w sprawozdaniu nie wskazano, które z załączonych dokumentów dotyczą poszczególnych ustaleń w nim zawartych.

 

 

 

LS

GIODO

 

 

 

 

 

 

 

miszmasz-menu-module

NA SKRÓTY